RIP CAPTCHA

Lors d’un débat à la RSA Conference 2021 sur les cyberattaques et les arnaques en ligne, les chercheurs ont discuté des leçons tirées après avoir étudié les techniques des cybercriminels et les attaques menées contre les grands organismes. L’un d’eux, Dan Woods, un ancien agent des forces de l’ordre, a partagé son expérience en tant que travailleur pour les fermes de CAPTCHA. La charge de travail était énorme et le salaire, maigre (environ 3 dollars par jour, soit environ 2,45 €). Mais ce qu’il faut retenir c’est que les CAPTCHAs ne servent désormais plus à rien.

En général, si on créé une interface pour un humain, pas besoin d’un bot pour y accéder. Les programmes communiquent entre eux via des API et non via des interfaces utilisateur. Si un bot essaie d’accéder à une ressource en ligne ou à un service via l’interface utilisateur, cela veut dire qu’il s’agit très certainement d’une tentative d’exploitation.

Pendant de nombreuses années, les CAPTCHAs, qui servent à différencier un utilisateur humain d’un ordinateur mènent une lutte solitaire contre les bots illégaux. De nombreux services, dont les systèmes bancaires et les programmes de fidélisation, les utilisent toujours. Mais peut-on encore faire confiance aux CAPTCHAs ?

Qu’est-ce qu’une ferme à clics ?

Une ferme à clics est une sorte de fraude au clic : il s’agit d’un groupe de travailleurs qui clique sur des liens de publicités rémunérées au clic, améliore le classement de la page Web dans les résultats de recherche, augmente le nombre de likes, de vues, de votes, et autres. Avant, les bots se chargeaient des clics, mais les algorithmes antifraude ont obligé les escrocs à engager de vraies personnes pour le faire.

Certaines fermes à clics, comme celle qui a engagé Woods, sont spécialisées dans les CAPTCHAs et remplacent les bots qui rencontraient des problèmes de vérification.

Les employés des fermes de CAPTCHA doivent réaliser des tâches qui sont très simples pour une personne mais extrêmement complexes pour une machine. Ils peuvent sélectionner les images avec une borne d’incendie, déchiffrer une séquence aléatoire de chiffres et de lettres qui apparaissent de manière déformée, résoudre de simples calculs et faire tout un certain nombre de tâches similaires.

Vous avez certainement vu une version similaire de cette image circuler sur Internet :

Mème circulant sur le Web à propos des CAPTCHAs et des robots

Eh bien, il ne s’agit pas d’une blague.

Avez-vous besoin des CAPTCHAs ?

Les utilisateurs n’ont jamais été très fans des CAPTCHAs car il y a toujours un risque de se tromper. En effet, on peut cliquer sur une autre image sans faire exprès, ne pas voir une borne d’incendie au fond de l’image, rater un chiffre ou une lettre dans les séquences aléatoires déformées. Et même si tout est bon, le processus de CAPTCHA fait que l’expérience globale ressentie par l’utilisateur est négative car le flux est perturbé.

De plus, les fermes de CAPTCHAs ne sont pas le seul outil que les escrocs utilisent pour résoudre les CAPTCHAs. Certains, par exemple, cherchent toujours à créer une intelligence artificielle capable de résoudre ces énigmes. Même s’ils ne sont pas parfaits, les CAPTCHAs fournissent tout de même une protection supplémentaire et les utiliser semble judicieux. Mais rien n’est jamais aussi simple.

Alternatives aux CAPTCHAs

Les CAPTCHAs ne sont plus une protection suffisante contre les intrus et ils agacent les vrais utilisateurs. Après tout, il est peut-être temps de laisser de côté ce système démodé.

Fort heureusement, les CAPTCHAs ne sont pas les seuls moyens automatiques qui permettent de savoir si c’est un humain ou un ordinateur qui tente d’accéder au système. Si vous recherchez une meilleure option, jetez un coup d’œil à la fonction d’authentification avancée de notre solution de prévention Kaspersky Fraud Prevention, qui élimine les étapes d’authentification inutiles et créé une expérience utilisateur fluide.

Grâce aux technologies d’apprentissage automatique, l’authentification avancée allie un système d’analyse comportementale approfondie, un système de biométrie comportementale, une analyse de l’appareil de la personne qui cherche à s’authentifier et de son environnement, etc. dans le but de choisir la réponse appropriée : autoriser l’utilisateur à se connecter, le soumettre à une vérification supplémentaire ou bien lui refuser l’accès. La technologie peut alors déterminer si la tentative d’accès au service est réalisée par un humain ou par une machine.

Vous pouvez en apprendre plus sur ce produit ici.